Hoe ziet een cyberoorlog eruit, en zitten delen van Europa daar ondertussen middenin? De vraag houdt security-experts al langer bezig, maar de antwoorden zijn even glibberig als sommige zeroday-exploits.
We zijn in principe op de hoofdzetel van WithSecure in Helsinki om over de nieuwe strategie van het recent gesplitste bedrijf te praten. Voor de kenners: officieel is WithSecure het product van een gedeeltelijke
demerger. De Finse securityspeler F-secure
heeft zich gesplitst in een consumententak, nog steeds F-Secure genaamd, en een nieuw consultingbedrijf voor enterprises, WithSecure.
Maar de actualiteit is wat ze is en in de Finse hoofdstad, op een paar uur van de Russische grens, voelt men die net dat ietsje harder. 'We willen vertrouwen in een digitale gemeenschap bouwen en behouden', zegt Juhani Hintikka, CEO van WithSecure, 'Dat is belangrijk in het huidige landschap.' Het land Finland is zijn verdediging al jaren aan het voorbereiden, zo klinkt het, zowel in de echte als in de digitale wereld. 'Maar nu we lid willen worden van de NATO is de kans op een cyberaanval als vergelding wel groter', aldus Hintikka. De toon is meteen gezet. Wie in Helsinki rondloopt merkt aan de hoeveelheid Oekraïense vlaggen dat het conflict, nog meer dan bij ons, leeft in Finland.
Het misdaadmilieu
Een conflict zoals dat in Oekraïne deint dan ook uit tot ver buiten de grenzen, ook op cybervlak. De oorlog heeft ondertussen verschillende partijen tot actie aangespoord. Hackers aan beide kanten van het conflict halen sites
uit de ether of proberen pakweg het
Eurosongfestival in de war te sturen. Het is in die zin een van de eerste conflicten dat zo grootschalig wordt uitgevochten. Voor securitybedrijven zorgt dat voor een bijzondere uitdaging.
Bedrijven als
Microsoft en Google staan Oekraïne bijvoorbeeld bij in de verdediging van zijn netwerken. Officieel om zijn klanten te beschermen, maar het valt toch op, zegt Mikko Hyppönen, chief research officer bij WithSecure, dat dit zowat de eerste keer is dat grote Amerikaanse bedrijven in een conflict een kant kiezen.
Aan Russische zijde is er een opvallende speler in professionele cybercrimebendes. De hackersgroep Conti sprak een dag na de inval
zijn steun uit voor het Rusland. 'De bende is berucht voor zijn ransomware-afpersing en werkt bijzonder professioneel', zegt Christine Bejerasco, CTO bij WithSecure. Dat de bende nu zijn steun voor de invasie uitspreekt en dreigt met vergeldingsaanvallen voor organisaties die Rusland bekritiseren, kan een kwestie zijn sentiment, of van zelfbehoud. 'Het is hoe dan ook een van de grote uitdagingen van het bevechten van ransomware, dat de belangrijkste
threat actors vaak in Rusland zitten', zegt Bejerasco. 'Dat maakt de samenwerking moeilijker, en die is wel nodig. Je zit namelijk met het probleem dat de aanvallers op een grotendeels grenzeloos internet werken, terwijl onze politiediensten aan grenzen gebonden zijn.'
Ze maakt de vergelijking met de bestrijding van de REvil-hackersgroep. Die cyberbende werd in juni vorig jaar met behulp van Russische autoriteit tegengehouden. In januari van dit jaar werden veertien leden in Rusland, op vraag van de VS, zelfs
gearresteerd. 'Dat soort samenwerking zien we onder de huidige omstandigheden met bijvoorbeeld Conti niet gebeuren', merkt Bejerasco op.
Er staan de cyberbeveiliging op dat vlak dus lastige tijden te wachten. 'Als Rusland niet meewerkt, kunnen die lui moeilijk gearresteerd worden zolang ze in dat land blijven', vertelt de CTO. Maar dat betekent niet dat er helemaal geen opties zijn. Een tiental jaar geleden was er namelijk een gelijkaardig probleem met de makers van
exploit kits. 'Daar waren enkele belangrijke figuren bij die Russisch waren', legt Bejeresco uit. 'Die werden uiteindelijk opgepakt wanneer ze Rusland verlieten. Het goeie is wel dat die mensen vaak de neiging hebben om hun rijkdom tentoon te spreiden. Dus op een bepaald punt gaan ze reizen.'
Cyberoorlog
Zorgt de Russische invasie van Oekraïne nu voor de eerste cyberoorlog? 'Er bestaan geen cyberconflicten, er zijn alleen conflicten die ook worden uitgevochten in cyberspace', zegt Janne Taalas, de CEO van CMI Martti Ahtisaari Peace Foundation daarover tijdens een presentatie op Sphere, de gebruikersconferentie van WithSecure. Zijn organisatie is een onafhankelijke Finse stichting die aan 'conflictmanagement' doet - proberen vrede te stichten in conflictgebieden dus. 'De cyberwereld is een van de domeinen waarin conflicten worden uitgevochten. Het probleem dat we nu hebben, is dat de legers die aan het vechten zijn cyberoorlog als een domein zien, terwijl de vredespartijen daar veel trager in zijn.'
Hij krijg bijval van Philip Ingram, voormalig Brits spion en nu keynote speaker. 'Cyberaanvallen zijn geen apart conflict, ze maken altijd deel uit van een grotere strategie.' Hij geeft het voorbeeld van wat hij de eerste geplande DDOS-aanval ooit noemt: in 1914, toen de Britten vier van de onderzeese telegramkabels tussen Europa en de VS doorsneden om Duitsland de communicatie met zijn ambassades te ontzeggen. De vijfde liep door het Verenigd Koninkrijk, en kon bijgevolg worden afgeluisterd.
De grote cyberaanvallen zijn volgens hem dan ook eerder uitlopers van een breder spionageverhaal. Denk bijvoorbeeld aan de Stuxnet malware die de Verenigde Staten losliet in Iran om daar elektriciteitscentrales plat te leggen. Als je er zo naar kijkt, zijn Rusland en Oekraïne al ettelijke jaren in een cyberoorlog verwikkeld.
Verdeling zaaien
'Cyberoorlog is efficiënt, betaalbaar en - dat vooral - het valt te ontkennen', zegt Mikko Hyppönen, chief research officer bij WithSecure, in een emotionele speech. 'De laatste tien jaar is Rusland erg succesvol geweest met cyberoperaties. Ze hebben ze gebruikt om het Westen te verdelen, om verkiezingen te beïnvloeden, en zijn daar heel goed in. Ze waren aan het winnen. Daarom is het verrassend dat Poetin ook zijn fysieke aanval uitvoerde.'
Maar die fysieke oorlog heeft dus een cyberpoot, daar kan je moeilijk omheen. Hyppönen geeft het voorbeeld van de Oekraïense grenspolitie: 'Net na de inval waren er lange files aan de grens om het land uit te raken. Vrouwen en kinderen moesten soms dagen wachten. Waarom? Omdat een aanval de computers van de grenspolitie had gewist. Dat is een praktisch voorbeeld van een cyberaanval in het midden van een oorlog'.
ESET, die andere grote Europese beveiliger, rapporteert dat het vier verschillende wiper-malwares heeft gevonden in Oekraïne sinds de start van de oorlog. De eerste daarvan werd uitgestuurd op de avond voor de Russische invasie. De malware doet zich soms voor als ransomware, maar versleutelt geen bestanden. In plaats daarvan vernietigt ze systemen door bestanden gewoon helemaal te wissen. Volgens ESET hadden de aanvallers al veel langer toegang tot de systemen en gaat het dus om gerichte, geplande aanvallen die bedoeld zijn om Oekraïense sites en organisaties op de dag van de invasie uit de lucht te halen.
Ervaring
Dat die aanvallen niet het hele land van het netwerk halen, heeft volgens Hyppönen vooral te maken met Oekraïne zelf. 'Ze vechten terug', zegt hij. 'Oekraïne is qua netwerken het best verdedigde land in Europa, omdat ze dat al acht jaar moeten doen. Als wij militaire trainingen voor cyberaanvallen doen, zijn dat theoretische scenario's. Maar voor hen is het echt en het is niet-aflatend.'
Hij verwijst onder meer naar de
Industroyer-malware die grote delen van het elektriciteitsnet van het land platlegde op de dag voor Kerst in 2017. Ook NotPetya, de ransomware die onder meer Maersk wist te raken, was initieel gericht op Oekraïense boekhoudsoftware. 'Oekraïne ziet drie keer zoveel cyberaanvallen sinds begin van de oorlog als in dezelfde periode in 2021', zegt Hyppönen, 'Maar veel daarvan mislukken.' Denk bijvoorbeeld aan
Industroyer 2.0, de aanval op het elektriciteitsnet die in april dit jaar volgens de Oekraïense cyberpolitie wél werd tegengehouden.
Volgens Philip Ingram is er echter nog een andere reden waarom cyber momenteel niet het grootste deel van het oorlogsgeweld voor zich neemt. 'Eens er fysieke wapens aan te pas komen, kan je daar met cyberaanvallen weinig aan doen', zegt hij. 'Met digitale middelen alleen kan je kogels, domme bommen uit de jaren zeventig en artillerievuur niet tegenhouden.'